Банковское обозрение (Б.О принт, BestPractice-онлайн (40 кейсов в год) + доступ к архиву FinLegal-онлайн)
FinLegal ( FinLegal (раз в полугодие) принт и онлайн (60 кейсов в год) + доступ к архиву (БанкНадзор)
Все банковские мобильные приложения содержат хотя бы одну уязвимость — таковы результаты проведенного компанией Digital Security исследования. Но так ли это страшно?
По сообщению исследовательского центр Digital Security, чтобы представить общественности результаты тестирования безопасности приложений для мобильного банкинга, «этичные хакеры» в течение года препарировали мобильные платежные приложения. Всего в исследовании упоминаются около 40 мобильных приложений российских банков.
В конце 2011 года Digital Security уже проводила подобное исследование систем интернет-банкинга, и результаты также оказались удручающими. Как сообщили «Б.О» в компании, после его публикации Digital Security не отслеживала, изменилось ли количество уязвимостей в исследованных системах, но количество банков, обращающихся за помощью в обеспечении безопасности систем ДБО, значительно увеличилось.
Результаты исследования мобильного банкинга подтверждают тенденцию, отмеченную экспертами в традиционных ежегодных отчетах по исследовательской работе в области безопасности систем ДБО. Разработчики мобильных банк-клиентов не уделяют достаточно внимания вопросам безопасности приложения, не следуют руководствам по безопасной разработке. Зачастую отсутствуют процессы разработки безопасного кода и архитектуры. В результате все рассмотренные приложения содержат хотя бы одну уязвимость, позволяющую либо перехватить данные, передающиеся между клиентом и сервером, либо напрямую эксплуатировать уязвимости устройства и самого мобильного приложения.
Так, 35% мобильных банков для iOS и 15% мобильных банков для Android содержат уязвимости, связанные с некорректной работой SSL, а это означает возможность перехвата критичных платежных данных с помощью атаки «человек посередине». 22% приложений для iOS потенциально уязвимы к SQL-инъекции, что создает риск кражи всей информации о платежах с помощью нескольких несложных запросов. 70% приложений для iOS и 20% приложений для Android потенциально уязвимы к XSS — одной из самых популярных атак, позволяющей ввести в заблуждение пользователя мобильного банк-клиента и таким образом, например, украсть его аутентификационные данные. 45% приложений для iOS потенциально уязвимы к XXE-атакам, особенно опасным для устройств, подвергнутым столь популярной в России операции jailbreak. Около 22% приложений для Android неправильно используют механизмы межпроцессного взаимодействия, тем самым фактически позволяя сторонним приложениям обращаться к критичным банковским данным.
«Надеюсь, что результаты этого исследования привлекут внимание банковских CISO к актуальным проблемам безопасности мобильных технологий. Проверка защищенности клиентских приложений методом статического анализа бинарного кода, проведенная нашим исследовательским центром, покрывает в лучшем случае 30% от общего фронта работ по анализу защищенности мобильных приложений, однако серьезные проблемы очевидны уже сейчас. Разработанный нами в процессе исследования внутренний инструмент анализа кода мы планируем в дальнейшем использовать для повышения качества услуг, которые мы предоставляем клиентам», — говорит директор Digital Security Илья Медведовский.
В тройку наиболее защищенных под iOS вошли приложения СИАБ, Мастер-Банка и ФГ «Лайф», под Android — СИАБ, Банка «Санкт-Перербург» и МТС-Банка.
Напомним, что недавно Сбербанк обнаружил группу мошенников, участники которой незаконно получали дубликаты SIM-карт оператора региональной мобильной связи, с помощью которых похищали средства клиентов через систему «Сбербанк ОнЛ@йн». Пока этот способ использовался при взломе интернет-банка, но, в принципе, может стать и частью плана злоумышленников, желающих совершать кражу с мобильных банков, привязанных к SIM-картам.
Как банку усилить свои конкурентные позиции в enterprise-сегменте за счет создания специализированных сервисов и почему для этого нужны IT-компании новой формации, в интервью «Б.О» рассказал Сергей Тихомиров, первый заместитель генерального директора компании CUSTIS
Число известных утечек персональных данных в России и мире за последние пять лет имеет хоть и синхронную, но разнонаправленную динамику. Если не считать кризисный 2022 год, наибольшее их число произошло в 2019-м. Ситуацию и методы борьбы с утечками на очередном BIS Summit 21 сентября 2023 года обсудили представители регуляторов и законодательной власти
2023 год для финансового сектора выдался более спокойным, чем предыдущий. Тем не менее вызовы были и в этом году. Банк России принял решение об установлении макропруденциальных лимитов в отношении отдельных видов потребительских кредитов, а также повысил ключевую ставку. Эти события повлияли на правила игры для представителей банковской сферы. Спикеры форума «Стратегия розничного бизнеса 2023» 21 сентября поделились стратегиями и планами по ведению розничного банковского бизнеса в новых условиях
В мероприятии «Один день в роли страховщика» участие приняли призеры конкурса студенческих работ «Страхование будущего: доступность и технологии» и турнира по финансовой грамотности «Предел риска», организованных Всероссийским союзом страховщиков